19-IP Source Guard命令
本章节下载: 19-IP Source Guard命令 (279.42 KB)
目 录
1.1.1 display ip source binding
1.1.2 display ip source binding statistics
1.1.3 display ip source binding-local
1.1.4 display ip source binding-remote
1.1.5 display ipv6 source binding
1.1.6 display ipv6 source binding pd
1.1.7 display ipv6 source binding statistics
1.1.8 display ipv6 source binding-local
1.1.9 display ipv6 source binding-remote
1.1.10 ip source binding (interface view)
1.1.11 ip source binding (system view)
1.1.13 ipv6 source binding (interface view)
1.1.14 ipv6 source binding (system view)
1.1.16 snmp-agent trap enable ipsg
display ip source binding命令用来显示IPv4绑定表项信息。
【命令】
display ip source binding [ static | [ arp-snooping-vlan | dhcp-relay | dhcp-server | dhcp-snooping | remote ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
static:显示配置的静态绑定表项。
arp-snooping-vlan:显示VLAN下ARP snooping模块生成的动态绑定表项。
dhcp-relay:显示DHCP中继模块生成的动态绑定表项。
dhcp-server:显示DHCP服务器模块生成的动态绑定表项。
dhcp-snooping:显示DHCP Snooping模块生成的动态绑定表项。
remote:显示路由协议模块同步过来的远端绑定表项。
ip-address ip-address:显示指定IPv4地址的绑定表项,ip-address表示绑定的IPv4地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
interface interface-type interface-number:显示指定接口的绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。
slot slot-number:显示指定成员设备上的绑定表项,slot-number表示设备在云集群中的成员编号。如果未指定本参数,则显示主设备上的绑定表项。
【举例】
# 显示公网所有接口的IPv4绑定表项和全局的IPv4静态绑定表项。
<Sysname> display ip source binding
Total entries found: 5
IP Address MAC Address Interface VLAN Type
10.1.0.5 040a-0000-4000 GE1/0/1 1 DHCP snooping
10.1.0.6 040a-0000-3000 GE1/0/1 1 DHCP snooping
10.1.0.7 040a-0000-2000 GE1/0/1 1 DHCP snooping
10.1.0.8 040a-0000-1000 GE1/0/2 N/A DHCP relay
10.1.0.9 040a-0000-2000 GE1/0/2 N/A Static
表1-1 display ip source-binding命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的绑定表项总数 |
|
IP Address |
绑定表项的IPv4地址(N/A表示该表项不绑定IP地址) |
|
MAC Address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Interface |
绑定表项所属的接口(N/A表示该表项为全局绑定) |
|
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
Type |
绑定表项类型: · Static表示配置的静态绑定表项,IP Source Guard模块用该表项过滤报文,并且配合其它模块提供相应的安全服务 · ARP snooping vlan表示VLAN下ARP Snooping模块生成的动态绑定表项,IP Source Guard模块用该表项过滤报文 · DHCP relay表示DHCP中继模块生成的动态绑定表项,IP Source Guard模块用该表项过滤报文 · DHCP server表示DHCP服务器模块生成的动态绑定表项,用于配合其它模块提供相应的安全服务 · DHCP snooping表示DHCP Snooping模块生成的动态绑定表项,IP Source Guard模块用该表项过滤报文 · Remote表示路由协议模块同步的远端绑定表项,用于配合ARP Detection模块提供相应的安全服务 |
【相关命令】
· ip source binding
· ip verify source
display ip source binding statistics命令用来显示路由协议模块关注的IPv4绑定表项统计信息。
【命令】
display ip source binding statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
管理员通过查看此统计数据,可对设备上的IPv4本地表项和远端表项数进行实时监控,确定设备学习的IP Source Guard表项规模,来判断表项规模是否达到设备上限,网络中是否存在攻击源等问题。
本命令可显示最近一小时内路由协议模块关注的IPv4绑定表项。
【举例】
# 显示路由协议模块关注的IPv4绑定表项统计信息。
<Sysname> display ip source binding statistics
Time Remote entry count Local entry count
Current 2000 5200
1 min ago 1351 5135
2 min ago 711 5071
3 min ago 708 4774
...
59 min ago 656 1365
60 min ago 607 1300
表1-2 display ip source binding statistics命令显示信息描述表
|
字段 |
描述 |
|
Time |
记录表项统计信息的时间点 |
|
Remote entry count |
远端用户表项的统计计数 |
|
Local entry count |
本地用户表项的统计计数 |
display ip source binding-local命令用来显示路由协议模块关注的IPv4本地绑定表项信息。
【命令】
display ip source binding-local [ interface interface-type interface-number ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。
dhcp-relay:显示DHCP中继模块生成的动态绑定表项。
ip-address ip-address:显示指定IPv4地址的绑定表项,ip-address表示绑定的IPv4地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
slot slot-number:指定成员设备。slot-number为设备在云集群中的成员编号。如果不指定本参数,则表示指定Master设备。
【使用指导】
如果未指定任何参数,则显示设备上路由协议模块关注的所有IPv4本地绑定表项信息。
【举例】
# 显示路由协议模块关注的IPv4本地绑定表项信息。
<Sysname> display ip source binding-local
Total entries found: 1
IP address MAC address Interface VLAN Type
10.1.0.5 040a-0000-4000 Vlan1 1 DHCP relay
表1-3 display ip source binding-local命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的绑定表项总数 |
|
IP address |
绑定表项的IPv4地址(N/A表示该表项不绑定IP地址) |
|
MAC address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Interface |
绑定表项所属的接口(N/A表示该表项为全局绑定) |
|
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
Type |
绑定表项类型。DHCP relay表示DHCP中继模块生成的动态绑定表项,IP Source Guard模块用该表项过滤报文 |
display ip source binding-remote命令用来显示路由协议模块同步的IPv4远端绑定表项信息。
【命令】
display ip source binding-remote [ router-id router-id ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
router-id router-id:显示指定设备同步的动态绑定表项,router-id表示设备的Router ID,为IP地址形式。
dhcp-relay:显示DHCP中继模块生成的动态绑定表项。
ip-address ip-address:显示指定IPv4地址的绑定表项,ip-address表示绑定的IPv4地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
slot slot-number:指定成员设备。slot-number为设备在云集群中的成员编号。如果不指定本参数,则表示指定Master设备。
【使用指导】
如果未指定任何参数,则显示设备上路由协议模块同步的所有IPv4远端绑定表项信息。
【举例】
# 显示路由协议模块同步的IPv4远端绑定表项信息。
<Sysname> display ip source binding-remote
Total entries found: 1
IP address MAC address Router ID VLAN Type
10.1.0.5 040a-0000-4000 1.1.1.1 1 DHCP relay
表1-4 display ip source binding-remote命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的绑定表项总数 |
|
IP address |
绑定表项的IPv4地址(N/A表示该表项不绑定IP地址) |
|
MAC address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Router ID |
绑定表项所属的路由器ID |
|
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
Type |
绑定表项类型,DHCP relay表示DHCP中继模块生成的动态绑定表项 |
display ipv6 source binding命令用来显示IPv6地址绑定表项信息。
【命令】
display ipv6 source binding [ static | [ dhcpv6-relay | dhcpv6-snooping | nd-snooping-vlan | remote ] ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
static:显示配置的静态地址绑定表项。
dhcpv6-relay:显示DHCPv6 Relay模块生成的动态地址绑定表项。
dhcpv6-snooping:显示DHCPv6 Snooping模块生成的动态地址绑定表项。
nd-snooping-vlan:显示VLAN下ND snooping模块生成的动态绑定表项。
remote:显示路由协议模块同步过来的远端绑定表项。
ip-address ipv6-address:显示指定IPv6地址的地址绑定表项,ipv6-address表示绑定的IPv6地址。
mac-address mac-address:显示指定MAC地址的地址绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的地址绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
interface interface-type interface-number:显示指定接口的地址绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。
slot slot-number:显示指定成员设备上的地址绑定表项,slot-number表示设备在云集群中的成员编号。如果未指定本参数,则显示主设备上的地址绑定表项。
【举例】
# 显示公网所有接口的IPv6地址绑定表项和全局的IPv6静态地址绑定表项。
<Sysname> display ipv6 source binding
Total entries found: 2
IPv6 Address MAC Address Interface VLAN Type
20::1 000f-2202-0435 GE1/0/1 1 DHCPv6 snooping
200::1 000f-2202-0436 GE1/0/1 N/A Static
表1-5 display ipv6 source-binding命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的地址绑定表项总数 |
|
IPv6 Address |
地址绑定表项的IPv6地址(N/A表示该表项不绑定IPv6地址) |
|
MAC Address |
地址绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Interface |
地址绑定表项所属的接口(N/A表示该表项为全局绑定) |
|
VLAN |
地址绑定表项所属的VLAN(N/A表示该表项没有VLAN信息) |
|
Interface |
地址绑定表项所属的接口 |
|
Type |
地址绑定表项类型: · Static表示配置的IPv6静态地址绑定表项,该表项被IP Source Guard模块用于过滤报文,并且配合其它模块提供相应的安全服务 · DHCPv6 relay表示DHCPv6 Relay模块生成的动态地址绑定表项,IP Source Guard模块用该表项过滤报文 · DHCPv6 snooping表示DHCPv6 Snooping模块生成的动态地址绑定表项,IP Source Guard模块用该表项过滤报文 · ND snooping vlan表示VLAN下ND Snooping模块生成的动态地址绑定表项,IP Source Guard模块用该表项过滤报文 · Remote表示路由协议模块同步的远端绑定表项,用于配合ND Detection模块提供相应的安全服务 |
【相关命令】
· ipv6 source binding
· ipv6 verify source
display ipv6 source binding pd命令用来显示IPv6前缀绑定表项信息。
【命令】
display ipv6 source binding pd [ prefix prefix/prefix-length ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
prefix prefix/prefix-length:显示指定IPv6前缀/前缀长度对应的IPv6前缀绑定表项信息,其中,prefix-length取值范围为1~128。如果未指定本参数,则显示所有IPv6前缀/前缀长度对应的IPv6前缀绑定表项信息。
mac-address mac-address:显示指定MAC地址的IPv6前缀绑定表项信息,mac-address表示绑定的MAC地址,格式为H-H-H。如果未指定本参数,则显示所有MAC地址对应的IPv6前缀绑定表项信息。
vlan vlan-id:显示指定VLAN内的IPv6前缀绑定表项信息,vlan-id表示绑定的VLAN ID,取值范围为1~4094。如果未指定本参数,则显示所有VLAN内的IPv6前缀绑定表项信息。
interface interface-type interface-number:显示指定接口的IPv6前缀绑定表项信息,interface-type interface-number表示绑定的接口类型和接口编号。如果未指定本参数,则显示所有MAC地址对应的IPv6前缀绑定表项信息。
slot slot-number:显示指定成员设备上的前缀绑定表项,slot-number表示设备在云集群中的成员编号。如果未指定本参数,则显示主设备上的前缀绑定表项。
【使用指导】
IPv6前缀绑定表项是通过动态获取方式生成的,目前只支持从DHCPv6 Snooping获取该表项信息。
【举例】
# 显示所有的IPv6前缀绑定表项。
<Sysname> display ipv6 source binding pd
Total entries found: 3
IPv6 prefix MAC address Interface VLAN Type
2012:1111::/64 000f-2202-0435 GE1/0/1 1 DHCPv6 snooping
2012:2222::/64 000f-2202-0436 GE1/0/1 2 DHCPv6 snooping
表1-6 display ipv6 source binding pd命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的前缀绑定表项总数 |
|
IPv6 prefix |
前缀绑定表项的IPv6前缀/前缀长度 |
|
MAC address |
前缀绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Interface |
前缀绑定表项所属的接口(N/A表示该表项为全局绑定) |
|
VLAN |
前缀绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
Type |
绑定表项类型: · DHCPv6 snooping:表示IP Source Guard根据DHCPv6 Snooping模块生成的动态前缀绑定表项 · ND RA:表示IP Source Guard根据收到的ND RA报文生成的动态前缀绑定表项 · ND RA Prefix:表示IP Source Guard根据地址管理模块的前缀信息(该前缀可通过ND RA报文发布出去)生成的动态前缀绑定表项 |
【相关命令】
· ipv6 source binding
· ipv6 verify source
display ipv6 source binding statistics命令用来显示路由协议模块关注的IPv6绑定表项统计信息。
【命令】
display ipv6 source binding statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
管理员通过查看此统计数据,可对设备上的IPv6本地表项和远端表项数进行实时监控,确定设备学习的IP Source Guard表项规模,来判断表项规模是否达到设备上限,网络中是否存在攻击源等问题。
本命令可显示最近一小时内路由协议模块关注的IPv6绑定表项统计信息。
【举例】
# 显示路由协议模块关注的IPv6绑定表项统计信息。
<Sysname> display ipv6 source binding statistics
Time Remote entry count Local entry count
Current 2000 5200
1 min ago 1351 5135
2 min ago 711 5071
3 min ago 708 4774
...
59 min ago 656 1365
60 min ago 607 1300
表1-7 display ipv6 source binding statistics命令显示信息描述表
|
字段 |
描述 |
|
Time |
记录表项统计信息的时间点 |
|
Remote entry count |
远端用户表项的统计计数 |
|
Local entry count |
本地用户表项的统计计数 |
display ipv6 source binding-local命令用来显示路由协议模块关注的IPv6本地绑定表项信息。
【命令】
display ipv6 source binding-local [ interface interface-type interface-number ] [ dhcpv6-relay | nd-snooping-vlan ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。
dhcpv6-relay:显示DHCPv6中继模块生成的动态绑定表项。
nd-snooping-vlan:显示VLAN下的ND Snooping模块生成的动态绑定表项。
ip-address ipv6-address:显示指定IPv6地址的绑定表项,ipv6-address表示绑定的IPv6地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
slot slot-number:指定成员设备。slot-number为设备在云集群中的成员编号。如果不指定本参数,则表示指定Master设备。
【使用指导】
如果未指定任何参数,则显示设备上路由协议模块关注的所有IPv6本地绑定表项信息。
【举例】
# 显示路由协议模块关注的IPv6本地绑定表项信息。
<Sysname> display ipv6 source binding-local
Total entries found: 2
IPv6 address MAC address Interface VLAN Type
10::1 040a-0000-1000 GE1/0/1 2 ND snooping vlan
100::1 04ef-7010-1000 Vlan10 10 DHCPv6 relay
表1-8 display ipv6 source binding-local命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的绑定表项总数 |
|
IPv6 address |
绑定表项的IPv6地址(N/A表示该表项不绑定IP地址) |
|
MAC address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Interface |
绑定表项所属的接口(N/A表示该表项为全局绑定) |
|
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
Type |
绑定表项类型,取值包括: · ND snooping vlan:ND Snooping模块生成的VLAN内的动态绑定表项 · DHCPv6 relay:DHCPv6中继模块生成的动态绑定表项,IP Source Guard模块用该表项过滤报文 |
display ipv6 source binding-remote命令用来显示路由协议模块同步的IPv6远端绑定表项信息。
【命令】
display ipv6 source binding-remote [ router-id router-id ] [ dhcpv6-relay | nd-snooping-vlan ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
router-id router-id:显示指定设备同步的动态绑定表项,router-id表示设备的Router ID,为IP地址形式。
dhcpv6-relay:显示DHCPv6中继模块生成的动态绑定表项。
nd-snooping-vlan:显示VLAN下的ND Snooping模块生成的动态绑定表项。
ip-address ipv6-address:显示指定IPv6地址的绑定表项,ipv6-address表示绑定的IPv6地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
slot slot-number:指定成员设备。slot-number为设备在云集群中的成员编号。如果不指定本参数,则表示指定Master设备。
【使用指导】
如果未指定任何参数,则显示设备上路由协议模块同步的所有IPv6远端绑定表项信息。
【举例】
# 显示路由协议模块同步的IPv6远端绑定表项信息。
<Sysname> display ipv6 source binding-remote
Total entries found: 2
IPv6 address MAC address Router ID VLAN Type
10::1 040a-0000-1000 4.4.4.4 2 ND snooping vlan
100::1 04ef-7010-1000 5.5.5.5 10 DHCPv6 relay
表1-9 display ipv6 source binding-remote命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的绑定表项总数 |
|
IPv6 address |
绑定表项的IPv6地址(N/A表示该表项不绑定IP地址) |
|
MAC address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Router ID |
绑定表项所属的路由器ID |
|
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
Type |
绑定表项类型,取值包括: · ND snooping vlan:ND Snooping模块生成的VLAN内的动态绑定表项 · DHCPv6 relay:DHCPv6中继模块生成的动态绑定表项 |
ip source binding命令用来配置接口的IPv4静态绑定表项。
undo ip source binding命令用来删除接口的IPv4静态绑定表项。
【命令】
ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
undo ip source binding { all | ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
【缺省情况】
接口上未配置IPv4静态绑定表项。
【视图】
二层以太网端口视图
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
all:当前接口所有的IPv4静态绑定表项,本参数只在undo ip source binding命令中生效。
ip-address ip-address:指定接口的IPv4静态绑定表项的IPv4地址。其中ip-address表示绑定的IPv4地址,必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。
mac-address mac-address:指定接口的IPv4静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
vlan vlan-id:指定接口的IPv4静态绑定表项的VLAN。其中vlan-id表示绑定的VLAN ID,取值范围为1~4094。本参数仅在二层以太网接口视图下支持。
【使用指导】
接口的IPv4静态绑定表项用于过滤接口收到的IPv4报文,或者与ARP Detection功能配合使用检查接入用户的合法性。
加入业务环回组的接口上不能配置IPv4静态绑定表项。
【举例】
# 在接口GigabitEthernet1/0/1上配置一条IPv4静态绑定表项,仅允许源IP地址为192.168.0.1且源MAC地址为0001-0001-0001的报文通过。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001
【相关命令】
· display ip source binding
· ip source binding (system view)
ip source binding命令用来配置全局的IPv4静态绑定表项。
undo ip source binding命令用来删除已配置的全局IPv4静态绑定表项。
【命令】
ip source binding ip-address ip-address mac-address mac-address
undo ip source binding { all | ip-address ip-address mac-address mac-address }
【缺省情况】
未配置全局IPv4静态绑定表项。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address ip-address:指定全局的IPv4静态绑定表项的IPv4地址。其中ip-address表示绑定的IPv4地址,必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。
mac-address mac-address:指定全局的IPv4静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
all:设备上所有全局的IPv4静态绑定表项,本参数只在undo ip source binding命令中生效。
【使用指导】
全局的IPv4静态绑定表项对设备的所有接口都生效。
【举例】
# 在设备上配置一条全局的IPv4静态绑定表项,允许源IP地址为192.168.0.1且源MAC地址为0001-0001-0001的报文通过。
<Sysname> system-view
[Sysname] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001
【相关命令】
· display ip source binding
· ip source binding (interface view)
ip verify source命令用来开启IPv4接口绑定功能。
undo ip verify source命令用来关闭IPv4接口绑定功能。
【命令】
ip verify source { ip-address | ip-address mac-address | mac-address }
undo ip verify source
【缺省情况】
接口的IPv4接口绑定功能处于关闭状态。
【视图】
二层以太网端口视图
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
ip-address:表示绑定源IPv4地址,即根据接口收到的报文的源IPv4地址对报文进行过滤。
ip-address mac-address:表示绑定源IP地址和MAC地址,即接口上收到的报文的源IPv4地址和源MAC地址都与某动态绑定表项匹配,该报文才能被正常转发,否则将被丢弃。
mac-address:表示绑定源MAC地址,即根据接口收到的报文的源MAC地址对报文进行过滤。
【使用指导】
配置该功能后,IP Source Guard模块会通过静态或动态绑定表项过滤接口收到的用户IP报文,符合绑定表项的用户报文被正常转发,不符合绑定表项的用户报文将被丢弃。
本命令中指定的绑定参数,仅对动态生成的绑定表项有效,是接口使用动态绑定表项过滤报文时关心的报文特征项。如果仅使用静态绑定表项来过滤接口的报文,则本命令仅用于控制是否开启接口的报文过滤功能,接口依据配置的静态绑定表项参数来过滤报文,而不关心本命令中指定的参数。
加入业务环回组的接口上不能配置动态绑定功能。
在同一个接口或VLAN内,IPv4接口绑定功能可多次配置,最后一次的配置生效。
管理员执行本命令修改绑定规则后,只对新接入的用户生效,不会影响已接入用户。当已接入用户下线再重新上线后,才会按照新的绑定规则进行检查。
【举例】
# 在二层以太网接口GigabitEthernet1/0/1上配置IPv4接口绑定功能,根据报文的源IP地址和源MAC地址对接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 在Vlan-interface100上配置对报文的源IP和MAC地址的IPv4接口绑定功能,根据报文的源IP地址和源MAC地址对接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] ip verify source ip-address mac-address
【相关命令】
· display ip source binding
ipv6 source binding命令用来配置接口的IPv6静态绑定表项。
undo ipv6 source binding命令用来删除接口配置的IPv6静态绑定表项。
【命令】
ipv6 source binding { ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
undo ipv6 source binding { all | ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
【缺省情况】
接口上未配置IPv6静态绑定表项。
【视图】
二层以太网端口视图
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
all:当前接口所有的IPv6静态绑定表项,本参数只在undo ipv6 source binding命令中生效。
ip-address ipv6-address:指定接口的IPv6静态绑定表项的IPv6地址。其中ipv6-address表示绑定的IPv6地址,不能为全0地址、组播地址、环回地址。
mac-address mac-address:指定接口的IPv6静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
vlan vlan-id:指定接口的IPv6静态绑定表项的VLAN。其中vlan-id表示绑定的VLAN ID,取值范围为1~4094。本参数仅在二层以太网接口视图下支持。
【使用指导】
接口的IPv6静态绑定表项用于过滤接口收到的IPv6报文,或者与ND Detection功能配合使用检查接入用户的合法性。
加入业务环回组的接口上不能配置IPv6静态绑定表项。
【举例】
# 在接口GigabitEthernet1/0/1上配置一条IPv6静态绑定表项,仅允许源IPv6地址为2001::1且源MAC地址为0002-0002-0002的报文通过。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 source binding ip-address 2001::1 mac-address 0002-0002-0002
【相关命令】
· display ipv6 source binding
· display ipv6 source binding pd
· ipv6 source binding (system view)
ipv6 source binding命令用来配置全局的IPv6静态绑定表项。
undo ipv6 source binding命令用来删除已配置的全局IPv6静态绑定表项。
【命令】
ipv6 source binding ip-address ipv6-address mac-address mac-address
undo ipv6 source binding { all | ip-address ipv6-address mac-address mac-address }
【缺省情况】
未配置全局IPv6静态绑定表项。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address ipv6-address:指定全局的IPv6静态绑定表项的IPv6地址。其中ipv6-address表示绑定的IPv6地址,不能为全0地址、组播地址、环回地址。
mac-address mac-address:指定全局的IPv6静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
all:设备上所有全局的IPv6静态绑定表项,本参数只在undo ipv6 source binding命令中生效。
【使用指导】
全局的IPv6静态绑定表项对设备的所有接口都生效。
【举例】
# 在设备上配置一条全局的IPv6静态绑定表项,允许源IPv6地址为2001::1且源MAC地址为0002-0002-0002的报文通过。
<Sysname> system-view
[Sysname] ipv6 source binding ip-address 2001::1 mac-address 0002-0002-0002
【相关命令】
· display ipv6 source binding
· display ipv6 source binding pd
· ipv6 source binding (interface view)
ipv6 verify source命令用来开启IPv6接口绑定功能。
undo ipv6 verify source命令用来关闭IPv6接口绑定功能。
【命令】
ipv6 verify source { ip-address | ip-address mac-address | mac-address }
undo ipv6 verify source
【缺省情况】
接口的IPv6接口绑定功能处于关闭状态。
【视图】
二层以太网端口视图
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
ip-address:表示绑定源IPv6地址,即根据接口收到的报文的源IPv6地址对报文进行过滤。
ip-address mac-address:表示绑定源IPv6地址和MAC地址,即接口上收到的报文的源IPv6地址和源MAC地址都与某动态绑定表项匹配,该报文才能被正常转发,否则将被丢弃。
mac-address:表示绑定源MAC地址,即根据接口收到的报文的源MAC地址对报文进行过滤。
【使用指导】
配置该功能后,IP Source Guard模块会通过静态或动态绑定表项过滤接口收到的用户IPv6报文,符合绑定表项的用户报文被正常转发,不符合绑定表项的用户报文将被丢弃。
本命令中指定的绑定参数,仅对动态生成的绑定表项有效,是接口使用动态绑定表项过滤报文时关心的报文特征项。如果仅使用静态绑定表项来过滤接口的报文,则本命令仅用于控制是否开启接口的报文过滤功能,接口依据配置的静态绑定表项参数来过滤报文,而不关心本命令中指定的参数。
加入业务环回组的接口上不能配置动态绑定功能。
在同一个接口或VLAN内,IPv6接口绑定功能可多次配置,最后一次的配置生效。
管理员执行本命令修改绑定规则后,只对新接入的用户生效,不会影响已接入用户。当已接入用户下线再重新上线后,才会按照新的绑定规则进行检查。
【举例】
# 在二层以太网接口GigabitEthernet1/0/1上配置IPv6接口绑定功能,根据报文的源IPv6地址和源MAC地址对接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address
【相关命令】
· display ipv6 source binding pd
snmp-agent trap enable ipsg命令用来开启IP Source Guard模块的告警功能。
undo snmp-agent trap enable ipsg命令用来关闭IP Source Guard模块的告警功能。
【命令】
snmp-agent trap enable ipsg [ drop-threshold ]
undo snmp-agent trap enable ipsg [ drop-threshold ]
【缺省情况】
IP Source Guard模块的告警功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
drop-threshold:表示接口下每秒因与IP Source Guard绑定表项不匹配而被丢弃的报文数大于等于阈值或恢复到阈值以下的告警功能。
【使用指导】
如果未指定任何参数,则表示开启IP Source Guard模块所有的告警功能。
开启接口下每秒因与IP Source Guard绑定表项不匹配而被丢弃的报文数大于等于阈值或恢复到阈值以下的告警功能后:
· 当每秒接口丢弃的报文数大于等于ip verify source alarm/ipv6 verify source alarm命令指定的告警阈值时,设备就会发送告警信息;
· 当每秒丢弃的报文数从大于等于告警阈值恢复到低于告警阈值时,设备会再次发送告警恢复信息。
【举例】
# 关闭接口下每秒因与IP Source Guard绑定表项不匹配而被丢弃的报文数大于等于阈值或恢复到阈值以下的告警功能。
<Sysname> system-view
[Sysname] undo snmp-agent trap enable ipsg drop-threshold
【相关命令】
· ip verify source alarm
· ipv6 verify source alarm
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
